عامل‌های انسانی در امنیت اطلاعات/تاثیر عوامل انسانی بر احراز هویت از طریق گذرواژه


مقدمه

ویرایش

نیاز به امنیت اطلاعات به صورت فزاینده‌ای در حال رشد و گسترش می‌باشد. اتفاقاتی نظیر حادثه ۱۱ سپتامبر در آمریکا و عملیاتهای تروریستی در نقاط مختلف جهان، سازمانها، ادارات و بخش خصوصی را بر آن داشته است که نگاه ویژه‌ای بر مقوله امنیت اطلاعات داشته باشند. افزایش فزاینده این روند به گونه‌ای‌ست که در سال ۱۹۸۸، تعداد ۶ حادثه امنیتی در آمریکا ثبت گردیده است و این عدد در سال ۲۰۰۳ به ۱۳۷٬۵۲۹ حادثه افزایش داشته است که طبق برآورد FBI، این میزان در هر سال رشد ۲۵٪ را خواهد داشت.
تمامی سازمانها، ارگانها، شرکتهای خصوصی و حتی افراد، نیاز به تامین امنیت اطلاعات خود در سطوح مختلف می‌باشند تا از دسترسی غیرمجاز و یا تخریب اطلاعات در هر سطح جلوگیری نمایند.
تحقیقات اخیر نشان از وجود ریسکهایی ناشی از خطاهای انسانی در امنیت سیستمهای اطلاعاتی دارند که در بین آنها، مسائل مربوط به گذرواژه دومین تهدید مهم محسوب می‌شود. تقریبا امنیت منابع وسیعی به صورت سازمانی، اداری، خصوصی و حتی حریم شخصی افراد، به میزان قابل توجهی به گذرواژه انتخابی آنان مربوط بوده و باید به آن توجه ویژه‌ای معطوف داشت.
تعیین شرایط دشوار و پیچیده در انتخاب گذرواژه، و تبدیل آن به یک الزام برای افراد، گاهی از ظرفیت توان حافظه و طاقت کاربران فراتر بوده، و خود تبدیل به یک ریسک امنیتی می‌گردد. تحقیقات NIST در آمریکا نشان میدهد که بیش از ۵۰٪ رخدادهای امنیتی در سازمانها و بخش خصوصی به دلیل خطاهای انسانی بوده، که این مساله همجنان از چالشهای اصلی پیش رو در امنیت اطلاعات می‌باشد.
این مقاله برآن است تا با توجه نیازمندیهای انتخاب گذرواژه‌ای مناسب در جهت ایمنی بیشتر، تاثیرات آنرا بر اساس توانمندی حافظه انسان در رابطه با این نیازمندی‌ها، نظیر پیچیدگی و طول گذرواژه ارزیابی نماید. هدف در این مقاله، توسعه مدلی برای ارزیابی تاثیر عوامل انسانی بر روی مسائلی است که در احراز هویت توسط گذرواژه با آن روبرو هستیم.

امنیت اطلاعات:مفاهیم

ویرایش

در امنیت اطلاعات، تهدیدات امنیتی به سه دسته اصلی تقسیم می‌شوند.
۱- محرمانگی اطلاعات (Confidentiality)
۲- یکپارچگی اطلاعات (Integrity)
۳- در دسترس بودن اطلاعات (Availability)

  • محرمانه بودن اطلاعات بدان اشاره دارد که دسترسی به محتوای اطلاعات، به جز افراد مورد نظر، مقدور نباشد. به عنوان مثال، ارسال اشتباه سندی محرمانه، به گیرنده‌ای که منظور ما نبوده است از این دست محسوب می‌شود.
  • در یکپارچگی اطلاعات، هدف حصول اطمینان از این مورد است که اطلاعات در طول مسیر، و یا در محل ذحیره‌سازی دچار تغییر نشده‌اند. حال تفاوتی نمی‌کند که عمدی و یا غیر عمدی. در اینجا، عدم اطلاع از محتوای اطلاعات مد نظر نیست. بلکه میخواهیم مطمئن شویم که اطلاعات به همانگونه‌ای ذخیره سازی شده‌اند و یا در شبکه جابجا میشوند که انتظار می‎رود. یعنی بدون تغییر.
  • در دسترس پذیری داده‌ها، به ایم موضوع پرداخته می‌شود که سیستم و اطلاعات در هر زمان برای دسترسی‌های مجاز، سرویس‌دهی نماید. گاهی افراد مجوز دسترسی به سیستم را دارند، اما مثلا به دلیل فراموش کردن گذرواژه خویش، از دسترسی به سیستم محدودند. در اینجا مساله Availibility مطرح است که کاربر مجاز است و نمی‌تواند از سیستم استفاده کند.

جالب است که بدانیم نوعی حملات شبکه‌ای با نام Denial of Service، همین ویژه‌گی از امنیت یعنی Availibility را نشانه رفته است و مانع از سرویس‌دهی به موقع به کاربران می‌شود.

حال تاثیر عاملهای انسانی در هریک از موارد فوق، می‌تواند بر روی امنیت تاثیر منفی گذاشته و آنرا به مخاطره بیاندازد. از این رو، دسته بندی فوق را به ۵ بخش توسعه داده، و پاسخگویی و طرح و نقشه برای هر یک، در راستای استقرار امنیت در سازمانها و شرکتها ضروری می‌باشد. این ۵ بخش شامل موارد ذیل است:
۱- کنترل دسترسی
۲- یکپارچگی سیستم
۳- رمزنگاری
۴- نظارت و گزارش گیری
۵- پایش و بررسی پیکربندی‌ها

خطاهای انسانی در امنیت اطلاعات

ویرایش

Kaplan در تحقیقی نشان داد که بیش از ۷۰٪ رخدادهای امنیتی در شرکتها به دلیل خطاهایی بوده که نیروی انسانی به صورت مستقیم و یا غیر مستقیم باعث آن بوده‌اند. در مطالعه دیگری از Wood و Banks، آنها نشان دادند که عامل اصلی بیش از ۵۲٪ حوادث و رخدادهای امنیتی که منجر به از بین رفتن اطلاعات گردیده‌است، نیروی انسانی بوده است.
در تحقیق دیگری Lewis و Crumpton نشان دادند که خطاهای انسانی ۶۵٪ از رخدادهای امنیتی را رقم زده که منجر به خسارات مالی شده‌است و تنها ۳٪ از این موارد، مربوط به حملات خارجی و نفوذگران شبکه بوده‌است. مطالعات اخیر نشان می‌دهد که رخدادهای مرتبط با خطاهای انسانی معمولا از این دسته بوده‌اند:

  1. خطا در پیکربندی
  2. ملاحظات گذرواژه
  3. دسترسی نابجا به اطلاعات
  4. خطا در ورود اطلاعات
  5. عدم پیروی از دستورالعملهای موجود
  6. استفاده از نرم‌افزارهایی که از امنیت کافی برخورداد نیستند
  7. فشارهای کاری
  8. بی‌تفاوتی و بی‌توجهی نیروی انسانی
  9. عدم بروزرسانی دستگاهها و نرم‌افزارهای مورد استفاده

که می‌تواند منجر به عدم یکپارچگی اطلاعات،دسترسی غیرصحیح، دسترسی به اطلاعات غیر صحیح و یا محرمانه، عدم ارائه سرویس به موقع، خسارات مالی و اقتصادی، و حتی در برخی موارد خطرات جانی در بر دارد.
در اینجا پرسشی مطرح می‌شود که دلیل بروز اینگونه تهدیدات در سیستمهای اطلاعاتی چیست؟
تحقیقات نشان می‌دهد که عواملی همچون:

  1. نبود آموشهای کافی برای کاربران
  2. عدم شناخت و درک مناسب از تاثیر تهدیدات مرتبط با فناوری اطلاعات بر روی سازکار سازمانی
  3. فشارهای کاری و زمانی و استرس ناشی از آن
  4. عدم احساس مسولیت در نیروی انسانی (نظیر غیرفعال نمودن ویروس‌یاب بدلیل کندی سیستم و رفتاری از این دست)
  5. اشتراک منابع مختلف سازمان با سایر کاربران و در بعضی موارد، خارج از سازمان
  6. و عدم کنترل به موقع و صحیح بر فرایندهای امنیتی، اطلاعاتی

از موارد عمده‌ای است که در این تحقیقات مشخص شده‌است.
از راههایی که برای مقابله با این خطرات، در پیش روست و می‌توان از آنها بهره جست، می‌توان به موارد ذیل اشاره نمود:

  1. آموزش مداوم کاربران متناسب با وظایف آنها
  2. خودکارسازی فرآیندهای سیستمی به طوریکه وابستگی آن به عوامل انسانی کاهش یابد
  3. ایجاد روحیه مسولیت پذیری در کاربران
  4. افزایش سطوح مختلف دسترسی بین کاربران (به این معنی که با انعطاف بیشتری بتوان دسترسی‌ها را به اطلاعات تفکیک نمود)
  5. تعریف سیاستهای شفاف و قابل اجرای امنیتی در سازمان

حافظه کوتاه مدت

ویرایش

در سال ۱۹۵۶ محققی به نام Miller نشان داد که حافظه کوتاه مدت انسان می‌تواند توالی ۲±۷ قسمت از عبارتی را بخاطر بسپارد. این قسمتها، می‌تواند حرف، رقم و یا یک تاریخ باشد. عبارتهای طولانی‌تر را می‌توان به بخش‌های مستقل تقسیم و آنها را به خاطر سپرد.
این تحقیقات در رابطه با حافظه آدمی نشان می‌دهد که وجود ترکیب حروف و عدد در هر بخش دشوارتر از حالتی خواهد بود که بخش‌ها شامل حروف و یا عدد به صورت جداگانه باشند.
در تعیین سیاستهای مربوط به انتخاب گذرواژه، این نکته حائز اهمیت است که نباید گذرواژه از این ۲±۷ بخش فراتر رود.

متدلوژی

ویرایش

در این تحقیق به این صورت عمل شده است که به صورت تحقیق میدانی

  1. از کاربران خواسته می‌شود که گذرواژه‌ای برای خود بر گزینند
  2. نقاط ضعف گذرواژه‌های برگزیده مورد مطالعه و بررسی قرار گرفته است

این تحقیق به صورت محدود در یک سازمان دولتی مورد بررسی قرار گرفته‌است که در آن

  1. اثر بخشی استفاده از دستگاههای کمک به حافظه ‪(‬mnemonic devices‪)‬ در تعیین گذرواژه‌های معنادار توسط کاربران مورد بررسی قرار گرفته‌است
  2. تاثیر عوامل انسانی بر روی احراز هویت از طریق گذرواژه و موانع و مشکلات پیش رو کاوش گردیده‌است

پرسش‌نامه

ویرایش

در این بخش پرسشنامه‌ای بین 250نفر افراد دانشگاهی و کارمند توزیع شده که به سه بخش تقسیم شده است:

  1. ‪گذرواژه‌های کاری/دانشگاهی
  2. ‪گذرواژه‌های شخصی افراد
  3. ‪رابطه میان جنسیت، سن، و سطح تحصیلات با گذرواژه‌های انتخابی

نتیجه حاصل از پرسشنامه‌ها

ویرایش

نتایج حاصل از این تحقیق نشان می‌دهد که افرادی که بین ۸ تا ۱۱ گذرواژه را در محیط تحصیلی و یا کاری باید به خاطر بسپارند، در معرض بیشترین ریسک فراموشی گذرواژه حداقل یکبار در ماه قراردارند. شکل ۱
 
بنابراین این افراد معمولا اقدام به نوشتن گذرواژه خود بر روی کاعذ نموده تا هنگام لزوم به آن مراجعه نمایند. شکل ۲
 
 
در شکل ۳ ساختار شکست نتایج بر اساس پیچیدگی گذرواژه‌های انتخابی مشخص شده است
 

نام انگلیسی مقاله

ویرایش

Evaluation of the Human Impact of Password Authentication Practices on Information Security

جستارهای وابسته

ویرایش

عامل‌های انسانی در امنیت اطلاعات

منابع

ویرایش

پیوند به مقاله: دریافت منبع ۸۸۲۳۱۶۶۴